利用虚拟货币洗钱犯罪的运作模式、侦查难点及对策

陆润洲

（中国人民公安大学，北京 100038）

21 世纪以来，随着世界经济的快速发展和区块链分布式技术的出现，以比特币、以太坊为代表的虚拟货币应运而生。由于其高度的去中心性、匿名性以及监管存在漏洞，虚拟货币逐渐成为不法分子绝佳的洗钱犯罪工具。针对虚拟货币引发的洗钱等一系列犯罪风险，我国也逐步加强了对虚拟货币的监管。2013 年《关于防范比特币风险的通知》、[1]2017 年《关于防范代币发行融资风险的公告》[2]以及2021 年《关于进一步防范和处置虚拟货币交易炒作风险的通知》[3]先后明确了虚拟货币不具有与法定货币等同的法律地位，虚拟货币相关业务活动属于非法金融活动；2021 年我国清退了中国大陆境内所有虚拟货币交易所的业务。[4]尽管如此，虚拟货币的监管漏洞和洗钱风险依然客观存在，互联网的跨空间性和全球性让虚拟货币完全退出中国市场并不现实，不法分子依然在利用国内虚拟货币交易监管的灰色地带和国外虚拟货币交易所实施洗钱犯罪活动。

一、利用虚拟货币洗钱的运作模式

在个体利用虚拟货币洗钱的案件中，洗钱模式往往较为简单，洗钱手法的隐秘性和复杂性较低。而在一些有组织的利用虚拟货币洗钱的案件中，犯罪分子的洗钱手法要专业和复杂得多，犯罪分子不断地通过转账、拆分和混淆来逃脱侦查人员的监管。

（一）个体利用虚拟货币洗钱的运作模式

2021 年3 月，最高检和人民银行发布6 个洗钱犯罪的典型案例，其中有一起陈某某洗钱案正是利用虚拟货币洗钱的案件①详见中国裁判文书网公布的（2019）沪0115 刑初4419 号刑事判决书。。2018 年陈某A 明知陈某B 因涉嫌集资诈骗犯罪被公安机关调查并逃到境外，仍将陈某B 用赃款购买的车辆出售得款人民币90 余万元，并将售得钱款转账给比特币矿工购买比特币，“矿工” 将比特币密钥发送给陈某A，陈某A 再将密钥发送给海外的陈某B，完成非法资产的“洗白”和转移（见图1）。区别于传统洗钱，利用虚拟货币洗钱仅需要一串字符。

图1 陈某某洗钱案洗钱运作模式图

（二）有组织利用虚拟货币洗钱的运作模式

在许多规模较大的利用虚拟货币洗钱的案件（例如较为著名的PlusToken、WoToken 等案件）中，其洗钱运作模式也要复杂和专业得多（见图2）。

图2 利用虚拟货币洗钱的运作模式图

第一步，犯罪分子将非法集资、传销诈骗、网络赌博等上游犯罪中的非法资金，交给境内或者境外的洗钱犯罪分子，这一步洗钱犯罪分子就会将不同上游犯罪的黑钱进行混淆。

第二步，洗钱犯罪分子在虚拟货币平台上注册账户、盗用他人信息注册账户或者盗用他人账户，向平台其他账户购买虚拟货币，并用黑钱进行支付。

第三步，洗钱犯罪分子将虚拟货币转移、拆分至冷热钱包中，一般在冷钱包①冷钱包是一种外在表现为u 盘、u 盾、移动硬盘或笔记本电脑的物理钱包，是一种不联网的离线钱包。中存有大量的虚拟货币，热钱包②热钱包一般表现为去中心化的钱包应用程序或App，可以在浏览器和移动设备上使用，是一种连接网络的在线钱包。中存有较少的虚拟货币。犯罪分子会将不同洗钱批次的虚拟货币混合起来并在冷钱包内、冷热钱包之间、热钱包之间进行来回地转移。

第四步，洗钱犯罪分子利用几个地址集群，围绕着几个热钱包中的虚拟货币，经过数十层的平行转移或者拆分，不断地将大额的虚拟货币拆分成两位数甚至个位数后进行混淆，不同阶段分出的大额虚拟货币和拆分后的虚拟货币之间再进行进一步的混淆、拆分、组合。整个过程犯罪分子通过代码就能够实现自动完成，期间处理一批几千枚虚拟货币的过程可能产生几十万笔的交易。

第五步，洗钱犯罪分子将虚拟货币用ChipMixer之类的工具进行进一步地混淆，随后转移到若干个“干净”的地址，最后汇聚为小额的几十枚转入交易所交易或通过场外的OTC 渠道卖出，变现后的钱此时已经“洗白”。从开始洗钱到最终进入交易所，往往经过几十层甚至上百层的转账。

二、利用虚拟货币洗钱犯罪侦查难点

（一）交易高度灵活，犯罪行为发现困难

诸如比特币、以太坊等在全球投资者中接受度和认可度较高的虚拟货币，可以随时在虚拟货币交易所内或者私下在买卖双方之间兑换为美元等法币，不同种类的虚拟货币间也可以进行兑换。并且虚拟货币的交易是全球化的、24 小时的，只要有设备和网络，就可以实现地址之间数据的流转，任何时间都可以在全球任意角落实现虚拟货币的交易。因此，虚拟货币洗钱犯罪具有高度的灵活性和隐秘性，对于洗钱犯罪行为的发现和黑钱的追踪造成了较大的困难。[5]

（二）交易的匿名性，导致犯罪分子身份认定困难

虚拟货币的转账是在地址之间进行，地址只是一串字符，只是区块链网络上的一个节点，由于整个区块链网络是去中心化的，没有类似银监会或银联这样的机构对其形成类似银行账号对应身份证、姓名等信息的行业关联。从一个地址向另一个地址转账虚拟货币的过程，就是用这个地址对应的私钥打开，再加密到另一个地址的过程，与犯罪分子的身份并没有联系。因此在侦查过程中即使锁定了涉嫌洗钱的虚拟货币地址，也较难追踪到背后的洗钱犯罪分子。[6]

（三）交易模式极其复杂，追溯困难

虚拟货币的诞生带来了区别于传统“钱庄”的洗钱模式，只需几行代码，就可以通过程序产生极为复杂、难以追溯的资金流向路径。犯罪分子将虚拟货币转变为其他形式之前，可以在他持有的地址间进行任意次数的交易，不断地拆分、重组、混淆。因此侦查过程需要技术上的保证和大量人力与成本的投入。[7]

（四）交易全球化，跨境追查困难

虚拟货币的交易是全球化的，通过区块链网络在几分钟内就可以实现在不同国家和地区之间的快速转移。由于不同国家的司法管辖区之间缺乏虚拟货币相关的成熟的合作机制和政策协调等原因，侦查机关在虚拟货币交易所后台数据的调取、资产冻结等方面存在困难。[5]

三、利用虚拟货币洗钱犯罪的侦查对策

利用虚拟货币洗钱相比于传统的洗钱犯罪在犯罪手段和犯罪模式上有着较大的差异，这就需要针对其运作模式和侦查难点，充分结合区块链技术，升级完善技术手段和侦防对策。

（一）建立虚拟货币反洗钱数据库

通过建立与虚拟货币反洗钱相关的节点数据库、标签库、高危地址库、案件库，实现对于存在洗钱风险的高危交易和高危地址的预警监测，并且为虚拟货币洗钱案件的侦查提供技术和数据上的支持和保障。

1.节点数据库。通过对比特币BTC、以太坊ETH、波场TRON 等主流虚拟货币公链搭建全节点数据库，对公链上的原始数据进行实时同步更新、清洗解析、存储入库，基于这些数据，对上述虚拟货币公链上的所有交易及地址进行分析。

2.标签库。不断地通过链下信息采集、链上交易关联、数据挖掘等手段搜集与地址相关联的信息，如IP、登录设备、支付信息、电话信息、网络使用痕迹等等，给对应的虚拟货币地址打上标签，力图建立全量虚拟货币地址标签库，可随时在侦查过程中进行信息关联。

3.高危地址库。将各类虚拟货币洗钱案件中涉及的地址和区块链上使用了混币服务等可疑行为的地址，以及存在大额交易、频繁交易的可疑地址，对其进行归类和存档，建立存在洗钱风险的高危地址库，对其进行实时监测和交易风险评估。

4.案件库。将过去国内侦破的所有利用虚拟货币洗钱的案件进行整理，生成一个涵盖案件类型、案件时间、涉案地区、涉案人员、涉案虚拟货币类型等完整信息的国内虚拟货币案件库，并根据案件的不同特点建立类案模型，通过实时监控链上数据，自动分析、关联和比对出可疑类罪交易地址。

（二）对参与洗钱的虚拟货币的溯源追踪

1.虚拟货币的溯源追踪的原理。侦查过程中对于涉案虚拟货币的溯源追踪非常关键，以比特币的追溯为例，比特币系统使用的UTXO（Unspent Transaction Outputs，未使用过的交易输出）模型在交易过程中所谓的余额，是一个地址的UTXO 集合。因此，存储比特币余额的实际上就是未使用的交易输出，甲交易的输出是乙交易的输入，乙交易的输出又是丙交易的输入，从而产生了交易链。交易链非常长，从第一笔交易开始可以无穷无尽地延续下去。[8]

因此，想要追踪涉及洗钱的比特币，只要能获取到一个或多个涉及洗钱的比特币的地址，然后便能够追溯到和这个地址发生联系的所有TXID（Transaction ID，区块链交易信息经过哈希运算后而得到的一长串字符），沿着交易链条追踪便可以找到该地址被花掉的所有UTXO 的去处。对单笔比特币交易的追踪，在区块链浏览器中输入交易唯一的TXID，便可以追查资金去向。也可以通过比特币客户端所提供的RPC 接口，与比特币全节点客户端的LevelDB 进行交互，实现对目标地址实时交易的监控。如此层层追踪，最终找到用于洗钱的比特币的去向。但洗钱过程动辄几十万笔的交易次数的溯源追踪需要现代超大内存和高性能的CPU 的作为前提，这也是对虚拟货币追踪溯源所需要的硬件设施。

2.PlusToken 案中比特币的溯源追踪。2019 年6 月，PlusToken 平台崩盘，留下了大笔的虚拟货币于相关地址中，犯罪分子便开始了不断的资产转移和洗钱工作。PlusToken 的主要比特币存放于14BWH6***（95228 枚BTC）、31odn4***（68562 枚BTC）、33FKcw***（37922 枚BTC）这三个地址中。对于涉案比特币的追踪，以33FKcw***地址中比特币的洗钱过程为例（见图3）。

图3 PlusToken 案33FKcw 开头地址中比特币的洗钱过程

第一步，33FKcw*** 地址转出两批数量分别为15000 枚和22848 枚的比特币。第二步，两批比特币再一次被拆分到9 个新地址中，其中一个主要钱包地址转移22922 枚比特币至四个新地址中，数量分别为7000、6000、5000、4922 枚；另一个主要钱包地址转移15000 枚比特币至五个新地址中，数量分别为3800、3400、3000、2800、2000 枚。第三步，这九个地址中的BTC 全部转账进入新的地址中。第四步，上述地址进行大量的拆分工作，拆分为1 至10BTC 的许多地址。第五步，经过多次拆分后的地址，进一步拆分为0.1 至10BTC 不等的大量小额地址，经过汇聚后转出。利用ChipMixer之类的工具进行进一步的混淆后，经过场外OTC途径出售。[9]

3.Upbit 被盗案中ETH 的溯源追踪。2019 年11 月，韩国Upbit 交易所342000 枚ETH 被偷盗转入0xa09871AEadF4994Ca12f5c0b6056BBd1d343c0 29 地址。随后，经过半年左右，不法分子完成了偷盗ETH 的洗钱工作（见图4）。

图4 Upbit 交易所被盗ETH 的洗钱过程

第一步，Upbit 被盗ETH 以十、一千、一万、十万ETH 的数额向三个地址分批转账，最终用一次109,270.16ETH 的大额转账转移走所有的ETH。第二步，Upbit 被盗的ETH 在不断地转账中进一步地被拆分成5 到10 枚的小额ETH，其中部分甚至转入若干ETH 来源复杂凌乱的中转地址或者混币地址。第三步，部分被盗的ETH 借助去中心化途径转化至稳定币，交易后的稳定币进行聚合转移。第四步，背后操纵者通过多次拆分，阶段性归集，进而再拆分、转移的手段，甚至出现了利用空投合约进行转移的策略。经过若干次转账后的被盗ETH，在若干洗钱中心地址汇集，然后以几枚到几十枚为单位进入若干交易所。此外，还发生了接连2 次利用智能合约进行洗钱，例如操纵者将ETH 换成USDT，经过空投合约转账，然后正常转账转入交易所。同时，在暗网等非法途径也产生了一些交易。

通过以上两个案例的分析可以看出，侦查工作中对于涉案虚拟货币的溯源追踪，最关键的难点就在于洗钱犯罪分子数以万计的拆分、转移和混淆，这就需要侦查人员沿着区块链节点进行层层追溯。

（三）虚拟货币地址画像和钱包画像

虚拟货币的地址仅仅是一段编码，侦查人员无法知道这些地址对应的具体现实中的人，所以针对虚拟货币地址和钱包的分析和画像就非常关键。首先，对于地址和钱包进行标记（见图5），其中A 代表非混币交易，B 代表混币交易，C 代表与追踪有关联，D 代表与追踪无关联，实线代表需要追踪的涉嫌洗钱的虚拟货币，虚线代表与追踪无关的正常的虚拟货币。地址a、b、c 都归属于钱包1，这三个地址的虚拟货币都来源于需要追踪的虚拟货币，因此，将钱包1 和地址a、b、c 都标记上A 类标签；地址d、e、f 都归属于钱包2，这三个地址的虚拟货币都来源于与追踪无关的虚拟货币，但是钱包3 中地址h 的虚拟货币同时来源于地址c 和地址d，此时地址h 中的虚拟货币已经混合，因此地址h 和其所属的钱包2 与本次的追踪也就产生了关联，对其标记C 类标签，而地址e、f 都与本次追踪无关，都标记上D 类标签；地址g、h、i 都归属于钱包3，其中地址g 标记A 类标签，地址i 标记D 类标签，地址h 和钱包3 中的虚拟货币都已经成为混币，将地址h 和钱包3 都标记上B 类标签；地址j、k、l 都归属于钱包4，他们都与本次追踪无关，都标记D 类标签。

图5 虚拟货币钱包和地址标记

然后，对标记上A、B 两类的地址进行重点分析，对每一个地址的地址余额、支出次数、收入次数、支出金额、收入金额、第一次支出时间、第一次收入时间、最后一次支出时间、最后一次收入时间等再次进行标记，再次排除出那些明显的用于中转混淆的侦查意义较小的地址。

对重点地址进行技术梳理，从IP、登录设备、支付信息、电话信息、网络使用痕迹等多维度进行关联分析和数据碰撞，寻找其与真实世界的联系，并注意犯罪分子购买或者盗用虚假身份信息的可能，绘制区块链背后现实操控者的画像。第一，当虚拟货币使用者交易时通信协议未加密的情况下，通过协议分析软件可以找出与比特币地址对应的IP 地址，通过部署网络协议侦控措施，可以锁定此类交易发送的地区甚至是电脑。第二，在论坛、微博、QQ 群、TWITTER、REDDIT、BBS、Faceboo k 等留下的许多虚拟货币买卖信息中寻找蛛丝马迹。第三，在交易所兑换法币时留下的姓名、银行卡地址等信息。第四，如果使用虚拟货币购买常规商品或服务，就可能暴露的收货人电话、地址等。信息不一定来自背后现实操纵者本人，但一定与其有着或多或少的关联，通过对关联信息进行梳理、分析，生成位置、年龄、关系等方面的对应报告，逐步锁定涉案人员。

（四）涉案资产和虚拟货币的追赃与处置

1.控制虚拟货币认证信息。数字钱包中有5 个常用术语：地址、密码、私钥（一串64 位的哈希值）、助记词（12 个单词构成，未经加密的私钥）、Keystore。有四种渠道可以控制钱包中的虚拟货币：（1）地址、密码和已登陆过的钱包软件的硬件；（2）私钥；（3）助记词；（4）Keystore 和密码。由于通过上述四个组合中的任意一个都可以控制钱包中的虚拟货币，因此，在查控虚拟货币时，要对相关的认证信息和硬件进行及时、全面的控制。

出于混淆的需要，并且由于虚拟货币放在在线的热钱包中存在被黑客攻击的危险，洗钱犯罪分子会将数量较大的虚拟货币存放在离线的冷钱包里。冷钱包的存放需要一定的载体，包括离线PC机或笔记本、专用硬件冷钱包、离线U 盘，需要注意对于相关载体的查扣。

2.涉案虚拟货币的扣押转移。涉案虚拟货币可通过正常的交易将其转移至执法机关控制的地址来加以控制。例如，美国执法机关在“丝绸之路”①2011 年，乌布利希创建了暗网“丝绸之路”，并很快成为了毒品、枪支、假钞等非法交易的平台，交易方式明确规定只能使用比特币进行交易。案件中就是用这种手段，查封了属于“丝绸之路”的17.4 万枚比特币。但目前，国内还未有地方开设虚拟货币的财政专户，以及采用此种方式转移虚拟货币到某一个特定的钱包是否符合法律规范，如何规避风险，亦是一个亟待解决的问题。因此，我国可以进行开设虚拟货币财政专户的试点，进行实践探索和经验积累，并且完善相对应的法律和规章制度。

除了开设虚拟货币财政专户，由于虚拟货币价格不稳定因素较大，可以兑换为USDT 等稳定币固定涉案虚拟货币的价值。但稳定币的“稳定”也只是相对其他虚拟货币而言，本身价格波动风险依然存在，并且这种做法的合法性同样值得商榷。

3.价值认定与拍卖变现。将虚拟货币进行查封和冻结后，还存在着上缴国库、归还受害者等工作和难题，需要对追缴的虚拟货币进行拍卖变现工作，其价值认定和处置方式可以参考其他国家的经验。2018 年1 月，美国法警局密封式拍卖从数十起案件中查获的约3813 枚比特币。[10]2019 年2月，爱尔兰拍卖商威尔逊拍卖公司将拍卖比利时政府从暗网涉贩毒案件中缴获的315 枚比特币。[11]

首先，对于虚拟货币的价值认定，由于虚拟货币的价格波动较大，其价格波动幅度甚至要大于股市、汇市等。[12]需要结合涉案资产的规模和近期该虚拟货币的价格走势，在适当的时间节点以合适的价格确认其价值。其次，对于虚拟货币的拍卖变现，按照现行规定，任何金融和支付机构都不得为虚拟货币提供结算服务，因此涉案虚拟货币只能进行公开拍卖或交由第三方公司拍卖，但其合法性以及程序的是否妥当依然存有争议。并且，由于虚拟货币价格波动大，对于变现后超出原本涉案资产的部分，同样需要进行妥善处置。

四、结语

作为近年来最具影响力的金融创新之一，虚拟货币在全球依然会不断发展，随着虚拟货币自身的技术革新和全球热度的不断提高，利用虚拟货币洗钱的犯罪活动也将不断涌现，手段不断升级。在未来针对利用虚拟货币洗钱犯罪的侦查对策，要结合犯罪新形势和新方法，致力于通过区块链技术、大数据和人工智能等技术手段，打造完整的链上数据分析平台，构建链上数据的监控、分析、穿透和治理一体化的虚拟货币洗钱犯罪侦查模式，以更好地打击利用虚拟货币洗钱犯罪，维护国家经济安全和金融安全。